[GTER] uma ideia para discussão: SPF reverso.

Roberto Alcântara roberto at eletronica.org
Fri Aug 3 12:31:48 -03 2012


Pensei em outra alternativa para minimizar o problema destacado pelo
Henrique e outros colegas, de quem não detem a SOA e possui variação
constantes nos domínios (apesar de gostar da simplicidade do outro
modelo...).

Seriam necessárias duas consultas:

A primeira
   X.X.X.X.in-addr.arpa  text = "v=rspf1 <chave publica>"
retornaria uma chave pública a ser utilizada em todos os domínios
autorizados a enviar o e-mail por este IP.

A segunda
   dominio.com.br text = "v=rspf1  hash(dominio.com.br assinado)"

retornaria o hash da assinatura com a chave privada do “dono” do IP,
que está no reverso.

Essa abordagem deixa o reverso estático, pois a chave não muda com
frequencia. Obviamente adiciona um custo maior à verificação...

 - Roberto


2012/8/3 Henrique de Moraes Holschuh <henrique.holschuh at ima.sp.gov.br>:
> On 02-08-2012 19:33, Roberto Alcântara wrote:
>>
>> Eu concordo que dificulta, mas hoje ele já tem que configurar o
>> reverso para bater com o direto de toda forma. Se realmente sair uma
>>  RFC vale o esforço p/ 'o cara do reverso' adicionar o TXT junto do
>> reverso.
>>
>> Agora, p/ quem tem uma penca de domínio em mudança constante e não
>> controla a SOA vai realmente dificultar, mas não vejo melhor lugar p/
>> o que  o "RSPF" se propoe do que a zona reversa.
>>
>> Nem sei se esse cenário é tão comum (não controlar a SOA e todo
>> semana adicionar/remover vários domínios),  pelo menos para os não
>> spammers ;-)
>
>
> É comum sim.  Vocês estão insistindo em um ponto que VAI causar
> problemas.  Qualquer um que não tiver ASN próprio ou um contrato MUITO
> grande com operadora a ponto dela liberar um /24, NÃO vai deter o
> controle da SOA.  Isso já é verdade faz pelo menos um ano, e só tende a
> piorar com o esgotamento do IPv4.
>
> Pior, vai amarrar o design de forma horripilante, já que pode *ESQUECER*
> a ideia de colocar um nó por domínio ou coisa parecida, porque a
> correspondência é 1 CNAME por nó no reverso para fazer o BCP-20, e
> nenhuma operadora vai tolerar ter vários chamados por semana para esse
> assunto (que já é um parto para fazer certo, e quando acaba o contrato,
> você só consegue obrigar os caras a tirar seu nome do reverso se colocar
> advogado no meio).
>
> E que tal esquecer os spammers?  Reverse-SPF não vai ter quase nenhuma
> efetividade contra UCE, só contra uma parcela altamente específica do
> SPAM.  A utilidade do reverse-SPF não é anti-spam.  É diminuir a
> falsidade ideológica.
>
>
> --
> Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
> IM@ - Informática de Municípios Associados
> Engenharia de Telecomunicações
> TEL +55-19-3755-6555/CEL +55-19-9293-9464
>
> Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
> e do custo que você pode evitar.
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list